你不能在iframe上设置X-Frame-Options。这是由向其请求资源的域(示例中为google.com.ua)设置的响应标头。在本例中，他们将报头设置为SAMEORIGIN，这意味着他们不允许在域外的iframe中加载资源。有关更多信息，请参阅MDN上的X-Frame-Options响应报头。

快速检查标题(在Chrome开发工具中显示)显示X-Frame-Options值从主机返回。

你不能在iframe上设置X-Frame-Options。这是由向其请求资源的域(示例中为google.com.ua)设置的响应标头。在本例中，他们将报头设置为SAMEORIGIN，这意味着他们不允许在域外的iframe中加载资源。有关更多信息，请参阅MDN上的X-Frame-Options响应报头。

快速检查标题(在Chrome开发工具中显示)显示X-Frame-Options值从主机返回。

您可以在tomcat实例级配置文件(web.xml)中执行此操作。 需要在web.xml配置文件中添加“过滤器”和“过滤器映射”。 这将在所有页面中添加[X-frame-options = DENY]，因为这是一个全局设置。

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
          <param-name>antiClickJackingEnabled</param-name>
          <param-value>true</param-value>
        </init-param>
        <init-param>
          <param-name>antiClickJackingOption</param-name>
          <param-value>DENY</param-value>
        </init-param>
    </filter>

  <filter-mapping> 
    <filter-name>httpHeaderSecurity</filter-name> 
    <url-pattern>/*</url-pattern>
</filter-mapping>

如果你控制发送iframe内容的服务器，你可以在你的web服务器中设置X-Frame-Options。

配置Apache

要为所有页面发送X-Frame-Options报头，请将其添加到站点的配置中:

Header always append X-Frame-Options SAMEORIGIN

Configuring nginx

要配置nginx发送X-Frame-Options报头，将其添加到http、服务器或位置配置中:

add_header X-Frame-Options SAMEORIGIN;

没有配置

这个头选项是可选的，所以如果这个选项根本没有设置，你将给下一个实例配置这个选项(例如访问者浏览器或代理)

来源:https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

解决方案是安装一个浏览器插件。

一个发布HTTP报头X-Frame-Options值为DENY(或具有不同服务器源的SAMEORIGIN)的网站不能集成到IFRAME中…除非你通过安装一个忽略X-Frame- options报头的浏览器插件来改变这种行为(例如Chrome的忽略X-Frame报头)。

注意，出于安全原因，根本不建议这样做。

X-Frame-Options是请求响应中包含的报头，用于声明所请求的域是否允许在帧中显示。它与javascript或HTML无关，也不能由请求的发起者更改。

本网站已设置此标头以禁止在iframe中显示。在客户端web浏览器中无法阻止这种行为。

进一步阅读X-Frame-Options